ΑρχικήsecurityΚρυφή κερκόπορτα μέσα στα EXIF δεδομένα του λογότυπου του Joomla CMS

Κρυφή κερκόπορτα μέσα στα EXIF δεδομένα του λογότυπου του Joomla CMS

Ερευνητές ασφαλείας της Sucuri, μια εταιρεία που ειδικεύεται στην παροχή λύσεων ασφάλειας στους ιδιοκτήτες ιστοσελίδων, ανακάλυψαν ένα ικανό τέχνασμα που χρησιμοποιήθηκε από χάκερ, οι οποίοι κατάφεραν να κρύψουν μια κερκόπορτα σε ένα από τα πιο αθώα μέρη, το λογότυπο του Joomla CMS.

Κρυφή κερκόπορτα μέσα στα EXIF δεδομένα του λογότυπου του Joomla CMS

Οι ερευνητές βρήκανε την κερκόπορτα σε μια προηγουμένως μολυσμένη ιστοσελίδα, που μόλις είχαν αναλύσει εκείνη τη στιγμή.

Η κερκόπορτα κωδικοποιήθηκε σε base64 και προστέθηκε στο πεδίο πνευματικών δικαιωμάτων του JPEG λογότυπου του Joomla CMS, μέσα στα EXIF metadata της​​ επικεφαλίδας του.

Αυτή η εικόνα κανονικά εμφανίζεται μέσω του αρχείου application.php, στο οποίο οι hackers τροποποίησαν τη γραμμή του κώδικα, από όπου το λογότυπο φορτώθηκε, προσθέτοντας μια λειτουργία που φρόντιζε τα EXIF δεδομένα ​​της εικόνας να διαβάζονται και να εκτελούνται από το CMS.

Ενώ αυτό φρόντιζε ώστε η κερκόπορτα να εκτελεστεί στις μολυσμένες ιστοσελίδες, εκείνο ήταν, ωστόσο, και το σημάδι που πρόδωσε τους hackers.

Σε αντίθεση με άλλες περιπτώσεις, όπου κώδικας ήταν κρυμμένος μέσα σε εικόνες, στη συγκεκριμένη περίπτωση, οι επιτιθέμενοι κατάφεραν να ενσωματώσουν τον κώδικα της κερκόπορτα τους μέσα στο αρχείο JPEG χωρίς να αλλοιωθεί η τελική εικόνα.

Κρυφή κερκόπορτα μέσα στα EXIF δεδομένα του λογότυπου του Joomla CMS

 

Αυτή δεν είναι η πρώτη φορά που οι ερευνητές ασφαλείας βρίσκουν κακόβουλο κώδικα κρυμμένο σε εικόνες.

Στη θεωρία της επιστήμης των υπολογιστών, η τεχνική της απόκρυψης των στοιχείων στο εσωτερικό μιας εικόνας ονομάζεται στεγανογραφία και έχει χρησιμοποιηθεί πολλές φορές στο παρελθόν. Συγκεκριμένα, υπήρξαν στο παρελθόν ορισμένες περιπτώσεις, οι οποίες περιλαμβάνουν τον «κλέφτη» πληροφοριών, Stegoloader, που κρύβεται σε αρχεία PNG και το Vawtrack banking Trojan που κρύβεται στα εικονίδια των αρχείων.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS